5．     安全管理

安全管理类主要应用于企业安全运营中心,是企业安全管理人员进行安全运营、威胁检测乃至应急响应的平台工具产品,主要包含SIEM/SOC(安全管理平台)、态势感知、高级威胁检测、日志审计、漏洞管理等产品。如果说边界安全、终端安全和身份安全是网络安全的“底座”,那么安全管理就是网络安全的“皇冠”。

安全管理类产品中最核心的产品就是安全管理平台,安全管理平台在国外一般称为SIEM(安全信息和事件管理),而在国内更习惯性的称SIEM为SOC或安全管理平台,实际上这也更加突出了SOC或安管平台作为企业安全运营中心(Serurity Operation Center)的技术支撑平台的功能。SIEM是SIM(安全信息管理)和SEM(安全事件管理)的融合体,主要功能是通过搜集来自异构数据源(通常包括路由器或交换机等网络设备、防火墙或IDPS等安全设备、Web或邮件服务器、以及各类应用程序等)的相关信息(日志,事件,流量),对数据进行关联和分析,以检测事件、发现威胁、识别异常行为和模式,以供后续使用(报告,审查、取证)。而最近几年在国内热度很高的态势感知,由于其底层平台大多也是SIEM或SOC,因此也属于安全管理平台的范畴。

图表31:SIEM的基本架构

资料来源:方正证券研究所绘制

随着政企用户安全建设的重心的转变,安全管理成为了近年国内网络安全行业景气度最高的赛道。虽然SOC在2005年前后就进入了国内市场,但与防火墙、反病毒等自动化程度较高的安全工具不同,安管平台对于企业用户自身的安全运维能力有较高的要求。而早期国内用户由于安全预算的不足,以及国内安全服务生态的不成熟,安管平台在国内并没有实现很好的落地。最近几年随着AI、大数据、UEBA(用户及实体行为分析)及SOAR(安全编排及自动化响应)等相关技术的成熟,降低了安全管理平台的使用门槛,因此安管平台在国内的落地效果开始出现显著的提升。具体体现在:

1)态势感知平台的兴起:在2015年公安部开始率先推进态势感知和通报预警平台的建设,随后态势感知逐渐向电子政务、网信、金融等行业扩散,态势感知通过可视化的监控大屏等方式,让安全管理平台的应用效果能够被更加清晰的感知,也间接促进了安管平台的采购,目前来看泛行业态势感知的建设仍有很大的潜在空间。

2)高级威胁检测需求的持续提升:随着安全形势日趋严峻,对于大中型机构而言,建立面向实战化的威胁检测与响应能力已成为网络安全体系建设的重中之重。且近几年攻防演练活动中,以攻防为主要场景的高级威胁检测产品已经成为众多企业用户的核心需求。

3)安全管理能力平台的轻量化落地:过去来看SIEM/SOC类产品涉及到较多的定制化,一般的采购方主要为安全预算充足的大型企业和机构。目前以NDR+EDR+SOAR+安全分析等多种能力形式的XDR解决方案开始在中型机构中快速落地。XDR作为SIEM/SOC的替代,方案简单、轻量、易用,且标准化程度更高,未来将成为国内安全市场的重要趋势。

奇安信、启明星辰和安恒信息目前占据了国内安全管理平台的前三位置,其他头部安全厂商也已经把这一赛道作为重点发力方向。前三大厂商均具备较强的竞争优势:1)奇安信的安全管理类产品主要包括了NGSOC、态势感知和威胁感知系统天眼,奇安信作为国内最早布局态势感知市场的安全厂商之一,目前在态势感知市场的份额排名第一,同时凭借在安全大数据以及高级威胁检测方面的能力,公司NGSOC和威胁感知系统天眼也是近年来的爆款产品,综合来看公司在安全管理类产品在国内市场占据龙头地位;2)启明星辰作为国内最早开发安全管理平台产品的厂商,在2005年前后就推出了国内第一代安全管理平台“泰合”,同时在2017年启明作为首家中国厂商进入了GartnerSIEM魔力象限,在安管平台领域有非常深厚的技术沉淀;3)安恒信息作为新兴安全厂商,在2014年前后开始将态势感知及安全管理平台作为重要发展方向。安恒从公安态势感知平台切入,在打造标杆效应后,目前在重要行业成功落地态势感知案例200余个,在监管侧态势感知市场排名第一。同时,安恒的大数据安全平台在多源异构数据采集、海量数据存储、安全事件溯源分析等核心技术上也具备一定的领先优势。除了前三大厂商之外,深信服作为安全管理赛道的新进入者,凭借成熟的渠道体系,目前市场份额也正在迅速提升,也进入到了前五的位置。

图表32:2020年中国安全分析和威胁情报市场份额

资料来源:IDC、方正证券研究所

6．     安全服务

网络安全服务指为增强和完善用户网络信息系统所提供的一系列的服务,通常情况下,安全服务由安全咨询、安全运营、安全集成三大部分构成。从Gartner和IDC两大机构的统计口径来看:IDC认为安全服务包括安全咨询、安全运营(MSS)、安全集成、安全教育及培训四个部分,而Gartner认为安全服务主要由安全咨询、安全外包(含MSS及驻场服务)、安全集成、硬件维护与支持四部分构成。虽然两家机构在统计口径上存在一定差异,但无论是在Gartner还是IDC的口径下,安全咨询、安全运营、安全集成都是最主要的三个部分,占据了安全服务市场90%以上的份额。

图表33:IDC安全行业分类

资料来源:IDC、方正证券研究所

国内安全服务市场无论从市场总规模,还是从市场结构来看,跟欧美市场相比,都存在非常明显的差距。首先在市场规模上,根据IDC、赛迪股份等机构的统计数据,目前国内安全服务市场总规模远低于全球平均水平。同时在国内安全服务市场,安全咨询和安全运营等附加值较高的安全服务占比较低,安全实施和系统集成占据了大部分的市场份额,体现出了国内外安全服务市场在产业成熟度上的差距。

图表34: 2020年中国IT安全投资分布(IDC)

资料来源:IDC、方正证券研究所

图表35: 2020年全球IT安全投资分布(Gartner)

资料来源:Gartner、方正证券研究所

我们认为,国内外安全服务市场存在差异的主要原因在于:1)缺乏安全意识:国内许多政企客户过去网络安全预算非常有限,绝大部分的预算都用于采购安全工具,以应付合规和审查,没有主动提升安全能力的诉求;2)没有付费意愿:在国内安全咨询、安全运营等专业服务经常被安全厂商作为采购安全设备的附赠品,企业用户甚至不需要向安全服务单独付费,而实际上单独的咨询规划和运营服务的价格并不低于设备采购;3)产业生态不成熟:国内安全服务市场从起点上就跟欧美市场存在天然的差距,缺少类似IBM、Dell、德勤、埃森哲等大型厂商对安全服务市场的培育,导致国内政企用户对安全服务的接受度普遍偏低。

安全服务的行业景气度以及安服对安全厂商的战略价值均在快速提升:1)在政策合规和产业升级两大因素的驱动下,政企用户对安全服务的需求正在迅速提升。安全服务目前已经成为网络安全市场热度最高,潜在空间最大的赛道,是安全厂商的重要增长点。2)除了直接采购在持续增加之外,安全服务能够有效提升用户粘性,对安全厂商而言具备极大的战略价值。头部安全厂商也正在通过顶层设计、平台建设以及运营服务的组合,持续卡位政企用户的安全预算。

6．1     安全咨询服务

安全咨询作为安全服务的重要组成部分,所涉及的内容非常广泛,最常见的安全咨询服务包括安全战略规划,安全架构设计、安全测评(等保)及合规审计等,此外技术类服务,包括渗透测试、漏洞评估、调查取证、应急响应、攻防演练等一般也属于安全咨询的范畴。

图表36:安全咨询业务分类

资料来源:方正证券研究所绘制

安全咨询市场近年来在政策驱动下正处于快速增长期。新的安全法规条例近年来的不断出台直接提升了用户对安全咨询的需求,包括等保2．0、关键基础设施保护条例、密码法、网络安全审查办法以及在2021年即将落地的个人信息保护法、数据安全法等法规条例的相继出台,使得政企用户对安全评估、安全测试、安全战略、安全规划的需求得以迅速提升。同时HW行动及重大活动网络安保驱动了应急常态化和防护实战化,相关企事业单位对于攻防演练、安全评估的需求也正在持续增加。

目前国内安全咨询市场以奇安信、启明星辰、天融信、绿盟科技、安恒信息等安全厂商占主导。根据IDC的数据,2020年奇安信以7．2%的市占率在国内安全咨询市场位居第一,启明星辰以5．7%的市场份额排名第二,天融信、绿盟科技及新华三的市占率分别为5．6%、4．7%及2．6%。随着网络安全在政府和企业内部的战略层级正在不断提升,用户对安全咨询的需求正在从过去数据安全治理、渗透测试、漏洞评估等专项建设向顶层设计升级,安全咨询服务的战略地位也在不断提升,包括奇安信、安恒信息、深信服、绿盟科技、启明星辰等头部厂商都将安全咨询能力的建设作为重点发力的方向。

图表37:2020年中国IT安全咨询服务市场份额

资料来源:IDC、方正证券研究所

6．2     安全运营服务

托管安全服务(MSS)指通过第三方安全服务厂商的远程安全运营中心(SOC)交付的事件监控、分析、预警、响应等一系列服务。通常情况下MSS包括:1)远程24/7小时对客户侧的安全事件和相关数据源(包括日志、流量等)进行安全监控和威胁检测(Threat Detection);2)漏洞(弱点)评估与管理(Vulnerability Management)服务,包括漏洞扫描,分析和补救;3)对客户的IT安全设备和工具,包括防火墙、IDPS、SIEM、端点安全等进行管理;4)对客户的安全事件进行响应。目前许多新兴的MSS服务已经超出了传统MSS的边界,包括威胁情报服务,托管检测和响应(MDR)服务等。此外,通过驻场人员现场交付的安全运营服务一般被称为安全外包或安全驻场服务。

图表38:MSS的典型运行机制

资料来源:Gartner、方正证券研究所

托管安全服务市场最大的驱动力是安全产业成熟度的提升。随着产业成熟度的持续提升,政企用户的安全重心,将逐渐从采购安全产品以满足合规要求,转移到采购安全服务以提升安全能力,这是产业发展的必然规律。对于国内许多头部企业而言,在经过多年的安全建设后,继续堆设备所带来的提升已经相当有限,当前的主要问题在于如何构建一套更为有效的安全体系,并且如何让这套体系持续高效运作,这也将直接带来对专业安全服务厂商的安全运营服务的需求。中长期来看,政企用户出于降低人力成本(安全厂商通过体系化管理实现规模效应),以及应对复杂威胁和管理复杂架构的需要(专业的人做专业的事),都将持续增加对专业安全服务的采购。

国内托管安全服务市场以启明星辰、奇安信、安恒信息、绿盟科技等头部安全厂商占据主导。根据IDC的数据,2020年,启明星辰以13．7%的份额排名第一,奇安信和安恒信息分别排名第二和第三。国内安全厂商近年来将托管安全服务作为重点布局方向,而且和海外市场更为流行MSS的模式所有不同,国内安全龙头厂商正在探索更加适应于本土市场的安全运营服务,比较典型的有启明星辰和安恒信息的城市安全运营中心,360的城市安全大脑,奇安信的应急响应中心,以及深信服“人机共智”MSS服务等。

图表39:2020年中国托管安全服务市场份额

资料来源:IDC、方正证券研究所